Как лучше всего защитить NFS между хостом Xen в Debian и виртуальными машинами?

После некоторых исследований кажется, что лучший способ обмена файлами между моим хостом Debian Xen и виртуальными машинами на нем - это использование NFS.

Как я могу защитить NFS, чтобы только указанная виртуальная машина могла получить к ней доступ? Использование IP-адресов и iptablesбудет работать, однако это не кажется самым безопасным способом. Могу ли я заблокировать NFS на моем bond0интерфейсе и разрешить его между хостом и виртуальными машинами, используя xenbr0интерфейс? Вот моя /etc/network/interfacesконфигурация:

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# network interfaces
auto eth0
iface eth0 inet manual
   bondmaster bond0

auto eth1
iface eth1 inet manual
   bondmaster bond0

#lacp bonded interface
auto bond0
iface bond0 inet manual
   bond-mode 4
   bond-miimon 100
   bond-lacp-rate 1
   bond-slaves eth0 eth1

#xen bridge
auto xenbr0
iface xenbr0 inet static
   bridge_ports bond0
   address 10.0.0.12
   gateway 10.0.0.1
   netmask 255.255.255.0

Решите, что вы хотите сделать:

• независимая от приложений и более «общая» сетевая безопасность, обеспечиваемая iptables на сервере NFS
• специфичная для приложения защита, выполняемая nfsd на сервере NFS
• или оба.

В NFS вы предоставляете доступ к каталогу только для чтения конкретному клиенту следующим образом:

echo "/mynfs clt.xmpl.com(sync)" >> /etc/exports.d/my-ro.exports
exportfs -r

Сначала я бы использовал sshfs.

Во-вторых, до NFSv3 в Linux, NFS небезопасен. Вы можете создать частную сеть NFS или использовать защищенную NFSv4.